In der Welt der Softwareentwicklung gibt es eine Vielzahl von Tools und Plattformen, die Entwicklern dabei helfen, ihre Projekte zu erstellen und zu verwalten. Eines dieser Tools ist NuGet, ein Open-Source-Paketmanager und Softwareverteilungssystem für .NET-Bibliotheken. NuGet ermöglicht es Entwicklern, fertige Bibliotheken in ihre Projekte zu integrieren und so den Entwicklungsprozess zu beschleunigen.
Leider gibt es auch böswillige Akteure, die diese Plattformen ausnutzen, um ihre schädliche Software zu verbreiten. In letzter Zeit hat eine neue NuGet-Typosquatting-Kampagne die Aufmerksamkeit von Sicherheitsexperten auf sich gezogen. Diese Kampagne nutzt verschiedene Typosquatting-Pakete, um Malware zu installieren und die MSBuild-Integration von Visual Studio auszunutzen.
Die MSBuild-Integration von NuGet wurde mit der Version 2.5 eingeführt und dient dazu, native Projekte zu unterstützen, den Build- und Testprozess zu automatisieren und benutzerdefinierte Aktionen zu definieren. Wenn ein NuGet-Paket installiert wird, das einen “build”-Ordner enthält, fügt NuGet automatisch ein MSBuild-Element “
Das Neue an dieser Kampagne ist, dass die bösartigen Pakete die MSBuild-Integration nutzen, um Code auszuführen und Malware zu installieren. In der
Dies ist nicht das erste Mal, dass die MSBuild-Integration von NuGet missbraucht wird. Bereits im Jahr 2019 wurde eine ähnliche Technik von einem Sicherheitsforscher demonstriert. Doch dies ist der erste dokumentierte Fall, in dem Bedrohungsakteure diese Funktion in bösartigen NuGet-Paketen nutzen.
Die Analysten von ReversingLabs haben diese neue NuGet-Kampagne am 15. Oktober 2023 entdeckt. Die bösartigen Pakete wurden als Typosquatting-Varianten bekannter Pakete erstellt. Einige der Beispiele sind